17/06/2022 22:32 Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM

nements « SIEM » - Joseph DEM…

WOW !! MUCH LOVE ! SO WORL
PEACE !
Rechercher sur le site: Fond bitcoin pour l'amélioration du site:
1memzGeKS7CB3ECNkzSn2qHwxU6NZoJ
Dogecoin (tips/pourboires):
Recherche DCLoo9Dd4qECqpMLurdgGnaoqbftj16Nvp

Home | Publier un mémoire | Une page au hasard

Memoire Online > Informatique et Télécommunications > Sécurité informatique

Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM »
par Joseph DEMBELE précédent sommaire suivant
Université Centrale - Master professionnel mention Cybersécurité 2021

Chapitre III : Tests et évaluations

Figure 51 : Première partie du dashboard de Suricata

La deuxième partie nous renseigne sur le top des pays d'où proviennent les IP de nos alertes (sources et destinations).

Figure 52 : Deuxième partie du Dashboard de Suricata

La troisième partie du Dashboard est un maps qui permet de voir la localisation de nos IP contenu dans les logs (sources et destinations).

Nouveau CorelDRAW
Outils de conception pros au bout de vos doigts. Achetez, téléchargez-les instantanément.

CorelDRAW Télécharger

Chapitre III : Tests et évaluations

https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 1/3
17/06/2022 22:32 Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM » - Joseph DEM…

Figure 53 : Troisième partie du Dashboard de Suricata

La dernière partie du Dashboard est la plus instructive car elle permet d'avoir une panoplie d'informations sur nos logs (horodatage, nom de la
machine, les ports, le types d'attaque, le type de système d'exploitation utilisé, son architecture, et plein d'autre information).

Figure 54 : Quatrième partie du Dashboard de Suricata

58

59

Chapitre III : Tests et évaluations

3 Scénarios d'attaque et détection des attaques

Cette partie sera consacré à une série de scénario d'attaque que peut faire un attaquant sur nos systèmes et tester le fonctionnement de notre SIEM en
différentes attaques. Les attaques suivantes seront réalisées pour tester le fonctionnement de notre SIEM :

· Attaque par brute force sur le protocole SSH

· Attaque par Denis de service(DOS)

· Attaques locales de type système :

· Elévation de privilège (modification du fichier sudoers)

· Désactivation du firewall

· Attaque réseau : Scan des ports Nmap

· Attaque de Brute force des répertoires d'un serveur Web (Fuzzing Web)

· Attaque par malwares

3.1 Attaque par brute force SSH

Une attaque dite « brute force SSH » consiste à des tentatives de connexions SSH effectuant une succession d'essais pour découvrir un couple utilisa
valide afin de prendre le contrôle de la machine. Il s'agit d'une attaque très répandue et toute machine exposée sur internet se verra attaquer plusieurs
plus d'information voir [7]

Pour chaque tentative d'authentification échoué le démon SSH génère un journal syslog ressemblant à celui-ci :

Tension: la faire baisser

Découvrez comment faire baisser une Tension trop élevée natu

Santé Nature Innovation En sa

Apr 25 19:55:10 tiger2 sshd[2525]: Failed password for joseph from 1.2.3.4 port 48459 ssh2

Ce journal permet de récupérer le nom d'utilisateur, l'adresse IP et le port utilisés pour une tentative de connexion.

A travers Filebeat les logs SSH sont acheminé vers Elasticsearch et à travers le moteur de détection de Kibana nous allons créer une règle de dét
permettre de détecter une attaque par brute force SSH.

https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 2/3
17/06/2022 22:32 Memoire Online - Mise en place d'un système de gestion centralisé des logs et des évènements « SIEM » - Joseph DEM…
Pour créer cette règle nous allons nous rendre dans le moteur de détection de Kibana situé dans la barre à gauche puis ensuite aller dans "Manage de

60

précé

Rechercher sur le site:

Recherche

CorelDRAW
TÉLÉCHARGER
Nouveau CorelDRAW

© Memoire Online 2000-2020

Pour toute question contactez le webmaster

https://www.memoireonline.com/10/21/12256/m_Mise-en-place-dun-systeme-de-gestion-centralise-des-logs-et-des-evenements--SIEM-24.html 3/3